我已经使用最基本的设置来configuration我的内部VLAN,其中端口1-7是从192.168.15.5 – > 192.168.15.36范围内的地址池中分配的。 这些主机被授予访问互联网,它很好。
我现在想要设置的是允许连接到设备的用户指定他们的IP(比如我的连接和请求192.168.15.45)可以访问互联网,并且仍然可以和DHCP主机一起工作。 那些具有DHCP分配地址的人被阻止从互联网。
大部分的问题在于,我对这个设备的使用非常新颖。 我觉得这个解决scheme很简单,但是我没有find正确的地方,也没有正确的术语来search它。 我需要定义访问控制列表吗? 组策略? 一个新的VLAN? 设置的规则似乎是特定于整个/ 24子网,但是当我请求在DHCP范围之外的静态IP时,我被阻止从其他主机和互联网。
按照要求:
interface Vlan1 description VLAN to inside hosts nameif inside security-level 100 ip address 10.100.31.1 255.255.255.0 ! access-list outside_access_in extended permit icmp any any access-list semc_splitTunnelAcl standard permit 10.100.31.0 255.255.255.0 access-list inside_nat0_outbound extended permit ip 10.100.31.0 255.255.255.0 10.100.31.192 255.255.255.192 access-list inside_nat0_outbound extended permit ip 10.100.31.0 255.255.255.0 10.100.31.0 255.255.255.192 access-list inside_access_in extended permit ip any any access-list inside_access_out extended permit ip any any access-list outside_access_out extended permit ip interface inside any access-list ACL_OUT extended permit tcp any any access-list ANY extended permit ip any any access-list OUT extended permit ip any any ip local pool VPN_Pool 10.100.31.220-10.100.31.250 mask 255.255.255.0 nat (inside) 0 access-list inside_nat0_outbound nat (inside) 1 10.100.31.0 255.255.255.0 nat (inside) 1 0.0.0.0 0.0.0.0 access-group ANY in interface inside access-group inside_access_out out interface inside access-group ACL_OUT in interface outside access-group OUT out interface outside dhcpd address 10.100.31.64-10.100.31.95 inside dhcpd enable inside 思科支持论坛的用户回答了这个问题。 我为我的问题的尴尬道歉,因为我仍在努力学习networking设备和思科的许多术语。 我在这里列出了一个链接: